我正在使用 Linux 和 Windows 服务器,希望使用 AD 来结合集中式 LDAP 身份验证过程。
我最近安装了 Windows 2012 R2 服务器作为域控制器。我有访问我们公司 LDAP 服务器的 LDAP 信息,但尚未找到如何设置密码引用过程。有人建议改用 OpenDJ 或 OpenLDAP,但我认为至少应该使用尝试使用本机应用程序进行此设置。经过几个小时的阅读和查看,我认为这行不通。
关于如何进行此事有什么建议?
摘要:我有一些设备subdom.company.com。LDAP 服务器位于ldap.company.com如果我只能将我的域连接/指向它,则可用于身份验证。我应该继续使用 Windows 2012 R2 还是切换到 Samba?还有其他途径吗?
更新:直到最近,我们的设备几乎全部都是 CentOS/Debian。我们使用 NIS 来维护帐户,一切顺利。现在,我们正在添加更多 Windows 客户端,并有机会让大型公司的服务器处理我们所有的身份验证。IE 不再需要在每个文件服务器上(通过 samba)为 Windows 客户端设置这些。
答案1
我不太清楚你说的“密码推荐”是什么意思。我思考您的意思是您希望 Active Directory 根据“ldap.company.com”服务器托管的 LDAP 目录对用户进行身份验证。
假设情况确实如此:Active Directory 中没有您要查找的功能。Active Directory 是(除其他功能外)由 LDAP 可访问目录支持的 Kerberos 密钥分发中心 (KDC)。它在功能上类似于您现有的 LDAP 目录。它没有将身份验证“代理”到另一个 LDAP 目录的功能。
你能与其他 Kerberos 域建立信任关系。如果您有另一个 Kerberos 实现作为现有 LDAP 目录的后端,则可以在新的 Active Directory 和该域之间创建域信任。这将允许 Kerberos 域中的安全主体被授予对 Active Directory 林/域中资源的访问权限。
就像我说的,你试图完成什么有点不清楚。如果你不想要/不需要 Active Directory 重复的所有功能,那么最好只使用 Samba 对 LDAP 服务器进行后端身份验证。(如果你能提供更多关于你试图做什么的叙述,我可以扩展这个答案。)
编辑:
根据您的编辑,我可以告诉您 Active Directory 不会执行您想要的操作。您无法将身份验证从 AD 转移到另一个 LDAP 目录。它就是不会这样做。
如果我处于你的情况,我可能会为你的 LDAP 目录创建 Kerberos 领域后端,将 Windows 客户端加入到新的 Active Directory 域,在 Active Directory 域和 Kerberos 域之间创建领域信任,最后配置 Windows 客户端以允许使用 Kerberos 凭据进行 SSO。